Clave de minteo comprometida en PAID Network
PAID Network sufrió un minteo de $27 M+ tras comprometerse la clave del deployer, re-minteando ~59 M PAID; el atacante vendió ~2,5 M por $3 M.
- Fecha
- Víctima
- PAID Network
- Cadena(s)
- Estado
- Parcialmente recuperado
El 5 de marzo de 2021, la clave de deployer/mint de PAID Network fue comprometida y usada para re-mintear el token PAID, emitiendo aproximadamente 59 millones de PAID a direcciones del atacante. Alrededor de 2,5 M PAID fueron vendidos por ~$3 M antes de que el equipo pausara y migrara el token. El valor nominal minteado fue de ~$27 M+; el robo realizado ~$3 M. PAID cayó ~85% y el incidente fue inicialmente sospechado de ser un rug interno antes de ser atribuido a un compromiso de clave.
Qué ocurrió
El contrato del token PAID mantenía la autoridad de minteo en una única clave. Esa clave fue comprometida; el atacante minteó ~59 M PAID y vendió ~2,5 M a la liquidez por ~$3 M antes de que el contrato fuera pausado y una migración/snapshot del token reembolsara a los tenedores.
Por qué importa
PAID Network es un incidente temprano y prominente de "autoridad de minteo ilimitada en una sola clave", y un caso de libro de texto de la ambigüedad entre compromiso de clave y rug interno (Grand Base, Snowdog). La mitigación es el consejo más repetido del catálogo: la autoridad de minteo debe ser renunciada o estar tras multi-firma + timelock; una sola clave de minteo es un arma cargada apuntando a cada tenedor, ya sea el gatillo apretado por un ladrón o por el fundador. La recuperación por migración/snapshot también anticipa la remediación estándar de emisor de tokens usada posteriormente por PlayDapp y otros.
Fuentes y evidencia on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-paid-network-hack-march-2021
- [02]altcoinbuzz.iohttps://www.altcoinbuzz.io/finance-and-funding/real-exploit-or-rug-pull-paid-network-attack/
- [03]rekt.newshttps://rekt.news/paid-rekt